iPhone 应用程序滥用 iOS 推送通知以收集用户数据信息；

许多 iOS 应用程序正在利用推送通知触发的后台进程，来收集有关用户数据，从而允许创建用于跟踪的指纹配置文件。

发现这种做法的移动研究人员 Mysk 表示，这些应用程序绕过了苹果的后台应用程序活动限制，并对 iPhone 用户构成隐私风险。

“应用程序不应根据收集的数据秘密构建用户配置文件，并且不得尝试、促进或鼓励其他人识别匿名用户或根据从 Apple 提供的 API 收集数据。” 苹果应用商店审查指南的一部分写道。

在分析了 iOS 后台进程在接收或清除哪些数据后，研究人员发现许多有一定用户群的应用程序涉及其中。

唤醒并收集数据

Apple 设计 iOS 时不允许应用程序在后台运行，以防止资源消耗并提高安全性。当不使用应用程序时，它们会被暂停并最终终止，因此它们无法监视或干扰前台活动。

不过，在 iOS 10 中，苹果推出了一个新系统，允许应用程序在后台悄悄启动，以便设备显示新的推送通知之前对其进行处理。

该系统允许接收推送通知的应用程序解密传入有效负载，并从其服务器下载附加内容在将其提供给用户之前对其进行丰富。此过程完成后，应用程序将再次终止。

通过测试，研究人员发现许多应用程序滥用此功能。根据应用程序的不同，包括系统正常运行时间、区域设置、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示屏亮度。

LinkedIn 在推送通知到达期间的网络数据交换

研究人员认为，这些数据可用于指纹识别/用户分析，从而实现持久跟踪，而这在 iOS 中是严格禁止的。

“测试表明，这种做法比我们预期的更常见。许多应用程序在被通知触发后发送设备信息的频率令人震惊，”Mysk解释道。

Mysk 创建了一个视频，显示了Facebook、LinkedIn 等接收推送通知期间的网络流量交换。这些应用程序被发现使用 Google Analytics、Firebase 或他们自己的专有系统等服务，将各种设备数据发送到他们的服务器。

有人就其应用程序检索用户数据的问题联系了 Microsoft、Apple和 LinkedIn，但未立即得到回复。

缓解措施

苹果将通过加强对设备信号 API 的使用限制来填补这一空白，并防止进一步滥用推送通知唤醒。

从 2024 年春季开始，应用程序将被要求准确声明为什么它们需要使用可被滥用于指纹识别的 API。这些 API 用于检索有关设备的信息，例如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认值。

如果应用程序没有正确声明它们对这些 API 的使用用途，Apple App Store 将会拒绝它们使用。

在此之前，想要取消这种指纹识别的 iPhone 用户应该完全禁用推送通知，但禁用推送通知并不能完全防止滥用。

ChatGPT被曝泄露私密对话，OpenAI称是其用户账号被盗

一份有关ChatGPT泄露私密对话的报道引发了关注。1日，OpenAI官方对此事进行了回应，并确认用户报告的问题是其ChatGPT账号被盗所致。

据悉，该账号未经授权的登录来自斯里兰卡，但持有人声称自己的登录地区为美国纽约布鲁克林。

调查发现，最近有来自斯里兰卡创建的对话存在，这些对话的时间框架与成功登录时间相同。之后，该用户更改了自己的密码，并声称使用了一个包含大小写字母、特殊字符的9位密码，除了登录微软账户以外，没有在其他地方使用过这个密码。

此外，在泄露的对话中涉及多个方面。其中一组对话似乎来自药房支持系统员工使用的账户，透露了该门户名称、发生问题店铺编号以及登录凭证等敏感信息。另一段对话则泄露了某人正在制作PPT名称以及一份尚未发表研究提案的细节。

值得注意的是，在这场事件中并未提及具体哪些数据被泄露或存在何种风险。对于此事如何发展，请持续关注后续报道。

文章来源 ：嘶吼专业版、安全圈

原文始发于微信公众号（黑白之道）：iPhone 应用程序滥用 iOS 推送通知以收集用户数据信息；|ChatGPT被曝泄露私密对话，OpenAI称是其用户账号被盗